目前,绝大多数制造型企业内桌面终端多为台式计算机,终端计算机上安装有文档加密、终端准入、防病毒等软件,存在数据存储分散、计算架构独立、系统稳定性不足、维护成本高和信息安全漏洞多等问题。为解决这些问题,信息部门运维人员不得不增设大量的网络安全防护和管理监控设备系统,并由专人对办公电脑进行维护,花费了大量的人力和物力。同时,由于传统桌面终端不具备可移动性,造成外出人员办公的局限性,影响机关企事业单位重要工作的开展。随着公司的发展,安全与效率矛盾日益突出,两者效果均不理想;研发终端配置要求日益增高,但高端资源(图站、仿真计算等)无法共享,利用率低;终端安全管控策略严格,导致终端使用体验与配置不匹配,希望通过建设桌面云项目,有效管理和动态调配资源,解决效率与安全问题。
软件定义数据中心(Software-DefinedDataCenter,SDDC)依赖于虚拟化和云计算技术,SDDC的目标是虚拟化数据中心的一切物理资源,通过虚拟化技术,构建一个由虚拟资源组成的资源池,不仅是对服务器进行虚拟化,还包括存储虚拟化和网络虚拟化等。
本文在SDDC技术架构基础上,采用超融合方式署的桌面云,对各种办公虚拟桌面终端的运算、网络和存储资源进行集中化管理,从而消除采用传统物理桌面终端、各制造业终端带来的各种各样的挑战。
1.SDDC架构技术
即把数据中心所有的传统、物理、硬件的资源进行虚拟化、软件化。该概念来源于SDN软件定义网络,VMware公司是软件定义数据中心概念的提出者。
软件定义数据中心是云计算的基石。软件定义的数据中心是一个具有高度灵活性、弹性和可靠性的全自动化的数据中心,可以作为云计算运营平台的支撑。它可以向客户提供构建、运行和管理云环境所需的所有技术和解决方案,提供实现云计算的架构(见图1)。SDDC的一个重要的赋能因素就是虚拟化,它将虚拟化技术的好处扩展至计算、存储、网络、相关可用性和安全服务在内的数据中心所有领域,从而实现支持灵活、弹性、高效和可靠IT服务的云计算环境。数据中心架构提取所有硬件资源并将其汇集成资源池,能够安全、高效、自动地为应用按需分配资源。客户可拥有自己的虚拟数据中心,其中包括其惯用的所有虚拟计算、存储、网络和安全资源。客户可以在几分钟内完成数据中心的创建、配置,并投入使用完整虚拟数据中心。同时,基于云的灾难恢复服务也可以使企业员工无须再投资灾备基础设施。
1.1服务器虚拟化
将一台或多台基于标准的X86物理服务器组成一个统一的资源池,使用虚拟化技术模拟抽象出若干台独立的、具有完整功能的逻辑服务器,目的是充分利用物理服务器的硬件资源,提升管理运维效率。
1.2存储虚拟化
将分布在多台物理服务器上的不同类型硬盘(固态硬盘、机械硬盘),通过网络组成分布式的文件系统,形成一个逻辑上虚拟的存储单元池,能够被集中管理和灵活分配使用。
1.3网络虚拟化
在虚拟机和物理网络之间提供了一整套完整的逻辑网络设备、连接和服务,包括分布式虚拟交换机、虚拟路由器、虚拟下一代防火墙等虚拟网络安全设备。同时,还支持VXLAN等增强网络协议,实现和物理网络的无缝对接,简化网络的配置管理。此外,还可以通过虚拟化管理平台,实现网络拓扑的可视化部署、网络故障自动探测等网络管理功能。
1.4高可用集群
将多台物理主机加入到同一个管理平台,形成一个资源池进行统一管理和使用,简化业务部署,扩大虚拟资源范围,也可以提高资源的有效利用率。同时,当高可用集群中的某一台物理主机需要维护或发生故障时,其他主机可以平滑接替其工作,不会影响集群的整体正常运行。
图1 基于SDDC的云基础架构
2.桌面虚拟化技术
桌面和应用虚拟化是一种在本地数据中心或云端发布终端企业员工桌面和应用,并在端点设备上呈现的软件技术。它为企业提供一种交付、保护和管理桌面及应用的精简方法,同时还能控制成本,并确保终端企业员工能够随时随地使用任意设备开展工作,为企业带来高效、可控的办公环境和一致的用户体验。企业员工可以通过客户端、PC、PAD、手机或者其他任何与网络相连的设备,访问跨平台的应用程序以及整个客户桌面,帮助企业员工突破时间、地点、终端的限制,随时随地接入自己的办公桌面,轻松实现移动办公。
2.1接入终端
桌面云接入终端是使用桌面云的设备,有独立的操作系统,可以通过各种协议连接到运行在服务器上的桌面云设备。为了充分利用已有桌面云资源,实现IT资产的最大化应用,也支持对传统桌面和移动设备安装一些插件,使得它们有能力连接到运行在服务器上的桌面。
2.2网络接入
桌面云提供各种接入方式,供企业员工连接。企业员工可以通过有线或者无线网络连接,既可以是局域网,也可以是广域网。连接时既可以使用普通的连接方式,也可以使用安全连接方式。
2.3控制台
控制台可以对运行着虚拟桌面的服务器进行配置,例如配置网络连接、配置存储设备等。控制台还可以监控运行时服务器的一些基础性能指标,例如内存的使用状况、CPU的使用率等。
2.4身份认证
提供身份认证的安全控制解决方案,实现对企业员工接入的认证和授权,可以对企业员工进行添加、删除、配置密码、设定其角色、赋予不同的角色不同的权限、修改企业员工权限等操作。
2.5应用程序
根据企业员工的工作需求,部署标准桌面和标准应用程序。控制台管理员把各种应用分发到虚拟桌面,企业员工只需要连到一个桌面就可以使用所有的应用,就好像这些应用安装在桌面,在这种架构下提供给企业员工的体验和使用传统的桌面完全一样。
3.基于SDDC的桌面云在企业中的设计和应用
东方汽轮机有限公司作为中国大型装备制造企业,终端的应用及管理非常复杂,公司桌面应用涉及公司办公、研发设计、生产管理、生产线等不同部门,每个部门的应用需求与应用环境存在较大的差异,如日常办公桌面需要经常更新部署常用的办公软件;车间生产线常常需要根据具体环境变化对终端的可靠性和尺寸提出不同的要求;分支机构和出差员工对桌面远程接入访问ERP有具体的要求;设计研发部门,由于各种设计数据分散在各个设计工作站或高档PC机上无法集中管理,可能导致企业的核心设计资料和数据有泄露及丢失的风险;通常,设计用的计算机是直接接入在混合网络中或专有网络,但无法将用户操作网络与设计网络完全隔离,因此这些重要的计算机的网络安全和网络准入难以保证;而随着应用场景越来越复杂,对业务系统的功能性、安全性、方便性的要求越来越高,例如:
(1)数据防泄密:上收数据,提高数据安全性、设计文档、图纸等,数据安全关乎企业的核心利益,如何防止数据泄密是企业一直面临的一项重大挑战。
(2)用户体验:设计人员对图形处理能力以及图形显示效果、计算机计算能力等要求非常高,需要支持高端图形应用,支持三维图形设计软件、真彩、多屏、高分辨率、truetype,设计过程中图形翻转无延迟。
为了解决企业面临的诸多问题,需要针对不同用途的桌面应用灵活调配调整计算、存储资源,并随时按照规范提供网络及安全配置。而采用前面提供的基于软件定义的基础架构的桌面云技术可以很好地解决上述问题,将用户使用的物理设备、操作系统、应用程序、数据进行逻辑分离,使公司可以真正在实现IT集中控管与用户自由性之间达到平衡。通过前期调研和综合比较,公司最终采用了在标准X86服务器部署VMWARESDDC的解决方案,实际实现方案如下。
3.1高可用服务器集群设置
本次共采用了19台X86服务器,分为3个高可用集群:GPU虚拟化服务器集群满足运行叶片UG三维MBD设计平台等桌面应用需求;普通办公桌面服务器集群满足普通办公及CAD设计需求;管理服务器集群主要用于满足整个桌面云平台涉及的各种虚拟管理服务器运行要求。
(1)GPU虚拟化服务器集群:共5台服务器,每台服务器配置2颗12核心/3.3GHz处理器、512内存;2块M.2128GB固态硬盘作为系统启动层、3块1.6T固态硬盘作为高速缓存层,18块1.8TB10K2.5英寸SAS热插拔硬盘作为永久数据存储层;配置1个NVIDIATeslaV10032GB用于满足vGPU的需求。
(2)普通办公桌面服务器集群:共10台服务器,每台服务器配置2颗14核心/2.6GHz处理器、512内存;2块M.2128GB固态硬盘作为系统启动层、3块1.6T固态硬盘作为高速缓存层,18块2.4TB10K2.5英寸SAS热插拔硬盘作为永久数据存储层。
(3)管理服务器集群:共4台服务器,每台服务器配置2颗22核心/2.1GHz处理器、512内存;2块M.2128GB固态硬盘作为系统启动层、2块3.2T固态硬盘作为高速缓存层,10块6TB7.2K3.5英寸SAS热插拔硬盘作为永久数据存储层。以上服务器均配置千兆网卡和多口万兆网卡,集群节点之间通过冗余的万兆交换机连接,实现高速的数据交换传输和访问。
3.2服务器虚拟化
服务器虚拟化软件采用VMwarevSphere,采用裸金属架构,直接安装部署在为桌面提供资源的各个主机服务器的硬件上,可让每台服务器同时承载多个高安全、可移动的虚拟机。虚拟机平台可以完全控制为各个虚拟机分配的服务器资源,并提供接近物理机的性能以及企业级的可扩展性。对于任何桌面虚拟化解决方案,无一例外地都需要后台服务器虚拟化平台作为支撑,来实现底层物理资源的抽象化、池化和灵活部署。
3.3存储虚拟化
存储虚拟化采用VMwareVirtualSAN,它是专为虚拟机设计的极其简单的存储,它具有速度快、恢复能力强、动态性等优点。它是VMware针对超融合基础架构推出的一款软件定义的存储解决方案,同时也是一个软件驱动的体系结构,可通过虚拟化的x86服务器交付紧密集成的计算、网络连接和共享存储。VirtualSAN会池化与服务器连接闪存设备和/或硬盘(HDD),以便为vSphere虚拟机(虚拟服务器和虚拟桌面)创建一个富有弹性的高性能共享数据存储。
3.4网络虚拟化
网络虚拟化采用VMwareNSX,为了支撑公司桌面云数据中心,数据中心的网络拓扑要具备安全、可靠、可扩展、能与自动化管理软件联动等特性,因此需要引入网络虚拟化。
网络虚拟化是软件定义数据中心的关键支持技术。网络虚拟化真正给网络带来像服务器虚拟化一样的服务。通过网络虚拟化,数据中心的应用所需要的网络功能都可以灵活地由数据中心x86Hypervisor来实现。同时,通过网络虚拟化,许多虚拟网络可以复用到一个单一的数据中心IP转发物理网络上。
虚拟数据中心的网络和安全资源池将依托服务器虚拟化嵌入网络虚拟化技术,用软件定义的方式实现网络硬件的解耦合,将网络进行标准化,从而实现网络资源池化,并通过虚拟化平台以策略驱动的方式进行网络资源、安全策略的统一分配和管理,提升数据中心安全控制能力,减少安全设备的投资。
虚拟化内部采用大二层网络,分布式服务包括分布式交换、分布式路由、微分段技术,嵌入到虚拟层由x86服务器分布式执行,虚拟化内的网络流量在虚拟化内部进行转发,内部进行安全隔离,无须透过物理网关设备。
通过虚拟边界网关提供交换、路由、NAT、防火墙、DHCP、负载均衡等功能,对跨边界的网络流量访问则需要通过虚拟边界设备和物理网关设备进行转发。构建的网络资源池应包含以下关键技术。
(1)VXLAN技术。利用业界广泛应用的VXLAN技术实现大二层网络,根据省级集中化要求可提供多租户网络支持,为构建双活数据中心、容灾数据中心提供条件,同时也为网络自动化资源调配提供支撑。
(2)分布式路由技术。将网关下移到虚拟化平台,通过x86服务器进行承载,数据中心内部的网络转发由虚拟化平台完成,无须转发到核心网络设备,减少对物理网络的依赖,减少数据中心发夹流量的产生,优化网络流量的转发效率,减轻核心交换机负担,节约核心网络成本。
(3)微分段隔离技术。将网关下移到虚拟化平台,通过x86服务器进行承载,通过微分段技术,利用虚拟机的属性,按照公司桌面云的安全域划分对数据中心内部虚拟机进行逻辑安全隔离,无论虚拟机漂移到哪里,虚拟机都符合合规性要求,属于某个安全域,减少对物理网络设备的束缚,提升灵活性。安全控制粒度为虚拟机虚拟网卡级别,因此可提升数据中心内部的安全性。
3.5GPU虚拟化
采用NVIDIAvGPU和VMwareHorizon技术提供了从本地到私有和公有云的灵活部署选项,因此公司可以安全部署VDI环境,满足所有业务需求。
VMwareHorizon可与两款NVIDIAvGPU客户产品组合使用:一是面向知识型员工的NVIDIAGRID虚拟PC(GRIDvPC);二是面向专业工作站的NVIDIAQuadro虚拟数据中心工作站(QuadrovDWS)。
VMwareHorizon结合GRIDvPC能够为使用视频会议、协作工具和其他现代办公应用程序的远程办公人员提供媲美本地PC的办公体验。
借助VMwareHorizon和QuadrovDWS,设计人员和工程师通过GPU渲染、仿真和3D图形实现了工作流程的优化。VMwareBlastExtreme显示协议与QuadrovDWS相结合,可不受设备、位置、媒介和网络连接限制,为终端用户提供身临其境且功能丰富的使用体验。
3.6终端设备
虚拟云桌面与瘦客户端之间采用VDI传输模式,本次采用的终端设备主要有两种类型,一是通过对现有的PC机进行利旧改造,让这些PC机具备瘦客户端的特性;一是购买了适合应用场景的一体机胖终端。
3.7集中控制管理
整个软件定义数据中心集中控制管理都是通过VmwarevCenterServer进行,可在单个控制台集中管理虚拟化主机和虚拟机,实现虚拟机基础架构的自动化、可扩展和可见。IT管理员能够从单一控制台上深入了解和管理虚拟基础架构上所有关键组件的配置。同样,桌面虚拟化环境中需要的集中控制和可见性、主动式管理及可扩展性功能也可以通过vCenterServer组件来共同完成。基于SDDC的桌面云虚拟化组件如图2所示。
图2 基于SDDC的桌面云虚拟化组件图
4.基于SDDC的桌面云应用价值
4.1集中化管理
在使用传统桌面办公的整体成本中,管理维护成本在其整个生命周期中占很大的一部分。管理成本包括软硬件的安装配置、升级、修复成本,以及数据恢复、备份的成本,在传统桌面应用中,这些工作基本上都需要在每个桌面上做一次,工作量非常大。而桌面云管理是集中化的,可从一个集中管理接口轻松管理数万个终端使用者。简化了关键IT流程,例如调配、连接代理、策略执行、性能监控和应用程序分配。将IT管理人员从日常烦琐的桌面管理工作中解放出来,投入到更多的业务创新工作中去。
4.2高安全性
桌面云将数据移动到数据中心存储,实施端点安全性和策略配置、简化防病毒流程,以提高安全性和合规性;终端只用于鼠标键盘和桌面影像;用户接入桌面使用加密的私有协议,传输为桌面影像,即使被截取也无法使用;IT运维部门对访问权限、访问来源、快速隔离等进行统一防护;用户、管理员以及外设硬件的操作日志记录保留完整。以上层层防护帮助实现云端数据的安全管理。
4.3低成本
通过桌面云集中化部署办公桌面,提高资源利用率,简化运维和管理,降低支持成本和碳排放,提升员工工作效率。这样,就能建立弹性伸缩的桌面资源池,随时为用户分配或收回计算、存储、网络等资源。
5.结语
基于软件定义数据中心(SDDC)基础架构技术,改变了企业基础设施资源的供给方式,实现了计算机资源对员工和应用需求的满足,简化运维管理和快速部署,实现IT硬件资源的弹性扩展和整合重复利用,充分保护已有的硬件设备投资。基于软件定义数据中心(SDDC)基础架构技术的桌面云平台将计算、网络和存储集中到用户桌面,提供安全、稳定、集中管理的研发办公系统,使用户移动办公触手可及,加快信息化资源车间的应用普及。
作者:毛 良 向光晖 王 涛 (东方电气集团东方汽轮机有限公司信息档案中心)
本文刊发于《中国高新科技》杂志2020年第23期
(转载请注明来源)
